A WWM (Well, Wait a Minute! - No, megállj csak!) program syslog üzenetek alapján iptables szabályok IP címeit tölti fel. Ezeket a szabályokat a felhasználónak kell létrehozni! iptables.conf.var fájl nevesített listája, illetve 'recent' lista támogatott.
A program regexp illesztés alapján ismeri fel a felhasználandó bejegyzéseket. Protokolonként meghatározható a logsor eleje, a különféle végződések, illetve a figyelembe veendő kizárt hálózati címek. Minden egyes végződéshez meghatározható az esemény típusa amit leír. Az esemény szabályok alapvetően két csoportba oszthatók: engedélyező illetve tiltó.
Az engedélyező szabályok 'büntetlenséget' garantálnak adott időre, a tiltó szabályok ezzel szemben listára teszik a benne szereplő címet. Minden szabály leírja, hogy mennyi bejegyzés szükséges adott időn belül ahhoz, hogy a benne szereplő IP cím listára kerüljön, valamint azt is, hogy mennyi ideig maradjon rajta. Például:
- 3 sikertelen ssh bejelentkezés után 1 napra tiltólistára kerül a forrás IP
- 1 sikeres ssh belépés után fehér listára kerül a forrás IP 1 hétre
- 3 nem létező ssh felhasználóval való próbálkozás után 1 napra tiltólistára kerül a forrás IP
A programot a nagyobb biztonság érdekében egy figyelő kisalkalmazás futtatja. Amennyiben az alkalmazás valamiért megáll, a figyelő program újraindítja és levelet küld az eseményről. Ha a megállás egymás után rövid távon háromszor ismétlődik, a program már nem kerül automatikusan újraindításra.
Összahasonlító táblázat:
funkció | WWM | fail2ban |
iptables | ||
dinamikus szabály létrehozás | x | x |
saját chain(ek) | - | x |
konfigurálható chain | x | - |
konfigurálható match rule name | x | - |
konfigurálható chain pozició | x | - |
statikus szabály frissítés | x | - |
kitiltás hatóköre (portok / protokollok) | állítható / minden | esemény protokollja |
kilépéskor szabályok törlése | választható | x |
gép induláskor 'sebezhetőségi ablak' | - | x |
gép leálláskor 'sebezhetőségi ablak' | - | x |
konfiguráció | ||
figyelt fájlok száma | 1 | protokollonként megadható |
konfigurációs fájlok száma | 2 | 2 + 23 akció + 31 minta |
tiltás minta alapján | x | x |
figyelmen kívül hagyás (ignore) minta alapján | - | x |
fehér lista (IP tartomány) | x | x |
fehér lista (esemény (minta) alapján) | x | - |
protokollok száma | tetszőleges | tetszőleges |
csomaggal érkező szabályok | 14 | 61 |
ismétlődési ablak alapértelmezett mérete | 3 óra | 10 perc |
reload lehetőség | x | x |
manuális beavatkozás | ||
protokoll figyelés hozzáadása/elvétele | reload | x |
protokoll tiltások szüneteltetése/visszaállítása | - | x |
pozitív minta (ban) hozzáadása/elvétele | reload | x |
negatív minta (ignore) hozzáadása/elvétele | reload | x |
naplózási szint megváltoztatása | N/A | x |
naplófájl helyének megváltoztatása | reload | x |
adott IP kitiltása | - | x |
adott IP tiltásának törlése | x | - |
program állapot információk | ||
protokoll tiltások állapota | N/A | x |
pozitív minták | show_config | x |
negatív minták | show_config | x |
tiltólistákkal kapcsolatos akciók | N/A | x |
ismétlődési ablak mérete | show_config | x |
kitiltási idő | show_config | x |
kitiltást eredményező próbálkozások száma | show_config | x |
naplózási szint | N/A | x |
teljes konfiguráció | x | - |
belső változók tartalma | x | - |